WCF客户端验证

WCF与现有的Windows平台上的身份验证机制很好地结合以外，还支持WS-Security安全规范，以及用户定制扩展验证模式，安全令牌方式。如果你关注过WSE3.0相关的技术文章，一定感觉不会陌生，这些安全机制在WSE3.0中已经完全支持。这些都是WCF声称继承WSE安全机制的最好证明。延续微软平台的的一贯做法。优秀模型的复用与扩展。关于安全的概念可以再参考WSE3.0构建Web服务安全(1):WSE3.0安全机制与实例开发。

WCF客户端验证之(1)None:客户端为匿名客户端。在这种情况下，每个客户端拥有一个自己的证书，比如身份证。服务会使用证书来确保服务客户端的标识。我们经常使用HTTPS 访问网站，比如登陆一些安全级别较高的网站情况类似，或者使用网上银行时候，你的客户端证书就会起到鉴别客户端的作用。

WCF客户端验证之(2)UserName:客户端将提供用户名和密码。在这种情况下，服务会使用证书向客户端验证其标识。另外就是证书还将用加密客户端的用户名和密码，保证消息在传输过程中的安全。这个方式也是常见的加密方式。我会在后续文章里给出实现代码。

WCF客户端验证之(3)Windows:需要WindowsAD支持。一般使用在企业局域网内部。客户端和服务都会使用 Windows 帐户进行身份验证。Windows Communication Foundation 将会就Kerberos 或 NTLM 进行协商，如果存在域，则优先选择 Kerberos（NTLM 实际上不会向客户端验证服务的身份，而只会向服务验证客户端的身份）。如果您想要使用 Kerberos，则必须让客户端根据配置中的服务主体名称验证服务的身份。如果您要在域环境中为客户端构建服务，您应明确地为其提供发送 Windows 账号的选项。

WCF客户端验证之(4)Certificate:服务将具有一个证书（客户端的公钥），客户端也具有一个其自己的证书（服务端的公钥）。当客户端向服务端发送消息时，使用证书加密消息，服务端使用私钥解密。反之亦然。证书就是包含公钥，证书标识，主题，指纹，签名算法等的一个文件。

WCF客户端验证之(5)IssuedToken:安全令牌的概念在WSE3.0里曾经涉及到。它允许您的服务从安全性令牌服务 (STS) 接受一组签名的声明。因为它可以启用联合标识方案和 InfoCard。当您与某个合作伙伴组织联合时，您将允许该合作伙伴通过任何合适的技术对其自己的用户进行身份验证。在最理想的情况下，这将允许该合作伙伴组织中的用户通过单一登录使用您的服务，即便他们并不与您使用同一个 Active Directory 域，或不受您的信任。该合作伙伴组织中的用户需要使用 STS 进行身份验证，而STS 可以发出一个签名的安全声明标记语言 (Security Assertion Markup Language, SAML) 令牌。您既可以直接接受该令牌，也可以要求将该令牌呈送给您组织中的 STS，以便让其评估该合作伙伴的声明，并发出第二个您可以使用的 SAML 令牌。理解起来有点复杂。实际也是一个标识，鉴别客户端的一个标识。就是一种更加灵活的身份验证方式。

好比你现在使用中国护照，有一天突然联合国实现了一种新的护照，全球统一护照，你可以进入任何一个国家，即使你在中国办理，但是其他国家可以再你落地的时候验证你的护照的有效性。然后告诉其他国家，共享着这次验证的结果。你的护照就是令牌。需要后续鉴别的身份证明。Issued这个单词的作用就在这里。需要鉴别的令牌。

UserName方式容易实现，但是在WCF框架下需要使用服务证书，这个是相对WSE3.0改变的地方。如果结合证书使用的话，会使的这种方式适合在Internet中使用。安全性较高。适合对发布到Internet的WCF服务常见的身份验证方式。X.509证书验证方式相对严谨，要求客户端提供有效的证书凭证，也就是每个客户端都要维护一个自己的证书，调用服务前，通过SOAP消息传递到WCF服务，WCF进行身份验证。这个需要CA支持。或者需要申请第三方商业证书。

定制方式也比较常见，用户根据需要定制自己的身份验证机制，如指纹，基因等技术。来代替现有的WCF客户端验证之方式。

 

Pastedfrom <http://developer.51cto.com/art/201002/184686.htm>